基于企业信息系统的网络安全研究

2017-03-11曹庆年艾长春

网络安全技术与应用 2017年7期

关键词：IP地址防火墙信息系统

◆曹庆年艾长春

（西安石油大学陕西 710065）

基于企业信息系统的网络安全研究

◆曹庆年艾长春

（西安石油大学陕西 710065）

随着社会和经济的快速发展，我国网络技术也得到了空前的发展，随之而来的网络安全问题也严重影响着人们的生产生活。本文从企业的信息系统入手，主要介绍了当前企业信息系统的基本情况，并分析及探讨了当前企业信息系统所面临着的网络安全问题，最终提出了一些构建网络安全防护体系的建议，以期为今后相关工作提供一定的参考。

企业信息系统；网络安全；防护技术

0 引言

当前信息化时代中，信息技术已经被广泛应用与各行各业中。为了能够让企业在激烈的市场竞争中获得长足的发展，一些企业已经积极建立起自己的网络系统[1]。因此，企业的整体运作已经极度依赖于信息系统之中，主要包括企业业务的发展及往来、企业内部工作的调配及项目的完成等等。除此之外，通过信息系统的这一平台，企业可以通过互联网进行相关信息的交流或共享，极大提高了企业在自我创新及绩效上升的空间。然而，在信息系统平台为企业工作及发展带来的极大便利的同时，其存在的网络安全问题也在时刻威胁着企业的良性发展，因此，加强企业信息系统的网络安全，已经成为当前企业发展过程中最值得重视的一大问题，也是实现企业可持续发展的基础。

1 企业信息系统当前存在的安全隐患

一般来说，企业信息系统的安全隐患主要存在以下两大问题，即信息安全问题及网络安全问题[2]。其中，信息安全包括企业在整体运行过程中所产生的相关数据信息的安全，包括对于重要商业信息的保密及储存安全等，其主要面临着信息数据的盗取、黑客入侵及攻击、非法访问或数据损坏等安全威胁；网络安全则是指信息系统中相关应用软件及机械硬件的安全，软件和硬件的损坏或电脑病毒的感染等问题都将威胁着信息系统的网络安全。这两方面的安全问题，都极大影响着企业信息系统的整体安全性和稳定性。

2 企业信息系统的网络安全防护技术

当前，为了应对这种信息安全及网络安全问题的发生，已经形成了某些有效的网络安全防护技术，以保障企业信息系统的基本安全。

2.1 防火墙技术

一般情况下，企业的信息系统是基于内网而建设的，即只能在企业内部供内部人员使用。这样一来，在内网及外网之间建立起一个安全防护技术，将对阻隔外网入侵的安全威胁具有十分重要的意义，这类阻隔技术即为防火墙技术[3]。从本质上来说，这种防火墙技术是根据其特殊的硬件及软件设备，形成的一种对内网进行访问控制的防护机制。其主要的工作原理为，利用某些过滤技术，将从外网进入的数据信息流进行相关过滤处理，以这种“墙”的阻隔方式，将外网向内网传递的通信隐患完全隔离。

防火墙的防护技术在当前企业信息系统网络安全管理中占据着很大比例，其主要被设置在企业信息系统的服务器前端，并且，通过相关维护及技术人员进行专业的维护和管理工作。在防火墙投入使用之前，管理人员还需对其进行一些基础的设置，例如防火墙的工作模式、防火墙的网络接口等等。而维护管理人员应当根据企业的实际应用要求及情况，来决定使用哪种防火墙的工作模式，Drop-InMode模式适用于没有设置内网的企业网络环境，而RoutedMode工作模式则适用于使用内网的企业，因此，一般是以选择RoutedMode的工作模式为主。此外，在对防火墙进行接口的设置之后，还要对其进行之后的一系列基础设置，最终需要通过 GUI程序让企业信息系统网络与防火墙进行成功的连接。

2.2 NAT技术

NAT技术即网络地址转换技术，其主要防护功表现在：通过一个NAT的专有软件，将企业内部的某些私有IP地址进行隐藏，并转化为一个或有限个数的公有 IP地址，进而通过隐藏了真实的企业IP地址而对其进行安全性能的保护[4]。而NAT的转换技术可以包括静态转换技术、动态转换技术和端口多路复用技术等。相比较而言，静态转换技术具有设置简单、操作方便的主要优势，通过 NAT技术的静态转换，可以将企业信息系统的内部网络中的所有主机都能够被永久的转换为外部网络的某一公共的、合法的 IP地址，这样一来，可以为企业节约大量地址注册资源，同时还可以为 IP地址的重叠提供有效的解决方案，以进一步提高网络使用的灵活性和安全性。

2.3 入侵检测系统

入侵检测系统（IDS）是一种防火墙的补充解决方案，即对网络传输的实施性监视，对可疑的信息发出警报或者进行主动防御的一种网络安全设备的。可以用来防止网络设备即路由器、交换机以及网络带宽乃至服务器（主要是操作系统和应用层）受到的DoS攻击[5]。一般先进的IDS设备包含两个部分：一个是用来保护的IDS，一个是保护服务器以及应用运行的主机IDS。所以说IDS是一种积极主动的安全防护技术，当然也存在其自身的缺点，如对自身攻击的保护，对数据的检测，会影响其他传输的检测。

检测技术是基于对各种不同事件的分析，根据不同的算法发现违反安全策略的行为。违反安全策略的行为一般由两类，一类是基于标志的，另一类是异常情况分析。基于标志的需要定义哪些是违背安全策略的特征，比如说网络数据包的包头信息与预设信息不匹配，或者说某些特征数据没有获取到[6]。异常信息的检测是需要定义正常的数值，包含一些CPU、内存的关键参数，最后通过运行的数据与设计的正常值比较来发现非正常的迹象。目前所使用的算法有贝叶斯推理法、模式预测法、统计、机器学习方法、数据挖掘法等。

虽然入侵检测系统有其弱点存在，由于其无须跨接链路、流量的优点使得它的应用变得越来越广泛。

2.4 身份认证技术

身份认证技术是网络安全中确认操作人员身份的一种方式，计算机对操作者的确认仅仅是一组特定的数字，只要是识别到这组特殊的身份数字，计算机就对该操作者授权，所以身份认证技术是网络安全的第一道关卡，有着非常重要的作用。

目前主流的身份认证技术有四种，用户名以及秘钥，生物识别特征技术，数字签名证书，动态口令。用户名以及秘钥技术可以是静态密码，登录时输入密码，可能会面临这离线字典的破解方法，安全性不是很高。生物特征识别则是对生物本身独一无二特征数据存取的校验如指纹、虹膜、语音、DNA等。数字签名则是一种哈希算法的加密技术，利用公私钥的计算匹配技术，强依赖与数字可分解难度。动态口令是一种较为安全可靠的认证方式，根据时间，不同的时间密码不同，可以有效抑制暴力破解技术，超过时间密码会改变，服务器和终端两端的密码同时改变保证了安全性，目前比较常用，如银行使用的USBKEY，智能卡等设备。